Back to Blog

มัลแวร์ NuGet ปลอมเป็น SDK ของ Sicoob ขโมยข้อมูลธนาคาร

นักวิจัยพบมัลแวร์ NuGet ปลอมตัวเป็น SDK ของธนาคาร Sicoob ขโมยรหัสลูกค้าและใบรับรองดิจิทัล แนะนำนักพัฒนาตรวจสอบแพ็กเกจด่วน

Sales
1 min read
มัลแวร์ NuGet ปลอมเป็น SDK ของ Sicoob ขโมยข้อมูลธนาคาร

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบแพ็กเกจ NuGet ที่เป็นอันตราย ซึ่งปลอมตัวเป็นชุดพัฒนาซอฟต์แวร์ภาษา C Sharp สำหรับ Sicoob หนึ่งในระบบการเงินสหกรณ์ที่ใหญ่ที่สุดของบราซิล เพื่อขโมยรหัสลูกค้าและใบรับรอง PFX

ตามรายงานของ Socket พบว่าแพ็กเกจ Sicoob.Sdk เวอร์ชัน 2.0.0 ถึง 2.0.4 มีฟังก์ชันในการขโมยข้อมูลที่ละเอียดอ่อน รวมถึงใบรับรอง PFX ซึ่งใช้สำหรับการยืนยันตัวตนในการทำธุรกรรมทางการเงิน


รายละเอียดของแพ็กเกจอันตราย


แพ็กเกจ Sicoob.Sdk ที่ถูกตรวจพบนี้ถูกออกแบบมาให้มีลักษณะเหมือนกับ SDK ที่ถูกต้องตามกฎหมายของ Sicoob อย่างมาก โดยนักวิจัยพบว่าแพ็กเกจดังกล่าวมีโค้ดที่ซ่อนอยู่ซึ่งทำงานเมื่อถูกติดตั้งและรันบนระบบของเหยื่อ

โค้ดที่เป็นอันตรายนี้จะทำการคัดลอกข้อมูลสำคัญจากเครื่องของเหยื่อ และส่งต่อไปยังเซิร์ฟเวอร์ที่ผู้โจมตีควบคุมอยู่ ซึ่งข้อมูลที่ถูกขโมยรวมถึงรหัสลูกค้าและไฟล์ใบรับรองดิจิทัลที่มีความสำคัญต่อการทำธุรกรรม


วิธีการทำงานของมัลแวร์


เมื่อผู้ใช้ดาวน์โหลดและติดตั้งแพ็กเกจ Sicoob.Sdk ตัวร้าย โค้ดที่ซ่อนอยู่จะทำงานทันที โดยทำการรวบรวมไฟล์ PFX certificate ซึ่งเป็นใบรับรองที่ใช้ในการยืนยันตัวตนสำหรับการทำธุรกรรมทางการเงินออนไลน์

นอกจากนี้ยังมีการขโมย Client ID ซึ่งเป็นรหัสประจำตัวของผู้ใช้บริการธนาคารอีกด้วย ข้อมูลทั้งหมดจะถูกบีบอัดและส่งไปยังเซิร์ฟเวอร์ Command and Control หรือ C2 ที่ผู้โจมตีเตรียมไว้


ผลกระทบต่อผู้ใช้งานระบบการเงิน


การโจมตีครั้งนี้ส่งผลกระทบโดยตรงต่อผู้ใช้บริการของ Sicoob โดยเฉพาะนักพัฒนาที่ใช้ SDK ในการพัฒนาแอปพลิเคชันสำหรับธุรกรรมทางการเงิน เนื่องจากแพ็กเกจดังกล่าวถูกปล่อยบน NuGet ซึ่งเป็น repository หลักของนักพัฒนา .NET

การที่มีแพ็กเกจอันตรายแฝงตัวอยู่ใน repository อย่างเป็นทางการทำให้ยากต่อการตรวจจับ และอาจเป็นอันตรายต่อระบบการเงินของบราซิลเป็นวงกว้าง หากไม่ได้รับการแก้ไขอย่างทันท่วงที


คำแนะนำสำหรับนักพัฒนาและผู้ใช้


นักพัฒนาที่ใช้แพ็กเกจ Sicoob.Sdk ควรตรวจสอบเวอร์ชันที่ติดตั้งในโครงการของตนเองทันที หากพบว่ามีการใช้เวอร์ชัน 2.0.0 ถึง 2.0.4 ให้ดำเนินการถอนการติดตั้งและเปลี่ยนไปใช้เวอร์ชันที่มีความปลอดภัย

นอกจากนี้ควรตรวจสอบระบบของบริษัทว่ามีการรั่วไหลของข้อมูลเกิดขึ้นหรือไม่ และเปลี่ยนรหัสผ่านหรือใบรับรองดิจิทัลที่เกี่ยวข้องโดยเร็วที่สุด สำหรับผู้ใช้ทั่วไปควรอัปเดตซอฟต์แวร์และใช้งานเฉพาะแพ็กเกจจากแหล่งที่เชื่อถือได้


Reference


The Hacker News

หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม

💬 Line @monsteronline

☎️ Tel 02-026-6664

📩 Email [email protected]

🌐 ดูสินค้าเพิ่มเติม mon.co.th

แชทผ่าน LINE
ดูสินค้าทั้งหมด